マイクロソフトがOfficeに対する12件のパッチを公開、7件がExcelに関するもの

文:Larry Dignan(ZDNet.com) 翻訳校正:石橋啓一郎 2008年03月12日 07時25分

  • このエントリーをはてなブックマークに追加

 Microsoftは米国時間3月11日、Officeに関する緊急の脆弱性を修正するいくつかのパッチを提供した。これには、広く知られていたExcelのセキュリティホールも含まれている。

 第1のセキュリティ情報(MS08-014)では、Microsoftは「ユーザーが特別な細工がされた Excel ファイルを表示した場合、非公開および公開で報告された数件のリモートでコードが実行される可能性がある Microsoft Office Excel に存在する脆弱性」を解決している。この脆弱性は、リモートの攻撃者がシステムの制御の乗っ取り、インストール、データを閲覧と変更、新しいアカウントの作成を行うことを可能にするものだ。これらの脆弱性に対するCVE番号は次の通りだ。

  • Excel のデータの検証記録の脆弱性(CVE-2008-0111)
  • Excel のファイル インポートの脆弱性(CVE-2008-0112)
  • Excel の STYLE レコードの脆弱性(CVE-2008-0114)
  • Excel の式解析の脆弱性(CVE-2008-0115)
  • Excel のリッチ テキストの検証の脆弱性(CVE-2008-0116)
  • Excel の条件付きフォーマットの脆弱性(CVE-2008-0117)
  • マクロ検証の脆弱性(CVE-2008-0081)

 これらのExcelのセキュリティホールは1月に発見され2月の月例パッチではパッチが提供されなかったものだ。

 これらのExcelの脆弱性を発見した人たちのリストは、長いものだ。これらさまざまな脆弱性を指摘した人たちは、SAICのMike Scott氏、VerisignのMatt Richard氏、iDefense LabsのGreg MacManus氏、JFE SystemsのYoshiya Sasaki氏、FortinetのBing Liu氏、TippingPoint DVLabsのCody Pierce氏、そしてWebsense Security LabsのMoti Joseph氏とDan Hubbard氏だ。

 Microsoftによれば、このアップデートの深刻度が緊急に指定されているのは、Microsoft Office Excel 2000 Service Pack 3であり、重要に指定されているのはExcel 2002 Service Pack 3、Excel 2003 Service Pack 2、Excel Viewer 2003、Excel 2007、Word、Excel および PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パック、Office 2004 for Mac、Office 2008 for Macだ。

 他のパッチは以下のようなものだ。

 CVE-2008-0110MicrosoftはOutlookの脆弱性を修正している。Microsoftの説明は以下の通りだ。

 これは Outlook に特別な細工がされた mailto URI を渡された場合、リモートでコードが実行される脆弱性です。攻撃者は、その後、プログラムのインストール、データの表示、変更、削除、または完全なユーザー権限を持つ新たなアカウントを作成する可能性があります。コンピュータでユーザー権限が低い設定のアカウントを持つユーザーは、管理者ユーザー権限で実行しているユーザーよりもこの脆弱性による影響が少ないと考えられます。Outlook のプレビューウィンドウで電子メールを表示するだけではこの脆弱性は悪用されません。

 CVE-2008-0113(Microsoft Office のセルの解析のメモリ破損の脆弱性)およびCVE-2008-0118(Microsoft Office のメモリの破損の脆弱性)これらのパッチは、非公式に報告されたMicrosoft Officeに関する2つの脆弱性を修正するもので、この脆弱性を突かれた場合、ユーザーが不正な形式のOfficeファイルを開くと、リモートからコードを実行される可能性がある。これらのセキュリティホールの深刻度が緊急に指定されているのはMicrosoft Office 2000であり、重要に指定されているのはMicrosoft Office XP、Microsoft Office Service Pack 2、Microsoft Excel Viewer 2003およびMicrosoft Excel Viewer 2003 Service Pack 3、Microsoft Office 2004 for Macだ。このリストには、サポートが終了した製品は含まれていない。

 これらのアップデートの深刻度は、Microsoft Office Outlook 2000 Service Pack 3、Outlook 2002 Service Pack 3、Outlook 2003 Service Pack 2およびService Pack 3、Outlook 2007に対し緊急に指定されている。iDefence LabsのMacManus氏がOutlookのURIに関する脆弱性を報告した。CVE-2008-0113に関して報告したのはZero Day Initiativeに協力しているArnaud Dovi氏であり、CVE-2008-0118は匿名の発見者が報告している。

 CVE-2006-4695(Office Web コンポーネントの URL の解析の脆弱性)およびCVE-2007-1201(Office Web コンポーネントのデータソースの脆弱性)MicrosoftはMicrosoft OfficeのWebコンポーネントに関する、2つの非公開で報告された脆弱性を修正している。Microsoftによれば、「これらの脆弱性により、ユーザーが特別に細工された Web ページを表示すると、リモートでコードが実行される可能性」がある。このアップデートの深刻度は、Microsoft Office 2000 Service Pack 3、Visual Studio .NET 2002 Service Pack 1、Visual Studio .NET 2003 Service Pack 1、Microsoft BizTalk Server 2000およびMicrosoft BizTalk Server 2002、Microsoft Commerce Server 2000、Internet Security and Acceleration Server 2000 Service Pack 2の、Microsoft Office Webコンポーネント2000の実装に関して緊急に指定されている。

 VigilantMinds Inc.のChris Ries氏、NCNIPCのXiao Hui氏、FinjanのYuval Ben-Itzhak氏がこの脆弱性を報告した。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]